Windows 2000: Erstes Loch, erster Patch

Vier Wochen vor dem offiziellen deutschen Erscheinungstermin stopft Microsoft (Börse Frankfurt: MSF) bereits die ersten Sicherheitslöcher seines neuen Betriebssystems Windows 2000. Konkret handelt es sich um zwei Bugs, für die der Softwarekonzern inzwischen Patches bereithält.

Beide Probleme betreffen den Microsoft Index Server. Dieser war bereits ein Add-on von Windows NT 4.0 und wurde auch in den Nachfolger Windows 2000 eingebaut. Der eine Bug wurde von Microsoft selbst mit dem Namen „Malformed Hit-Highlighting Argument Vulnerability“ versehen. Der Fehler erlaube es Angreifern, gespeicherte Dateien auf dem Webserver zu sehen und kann nach Angaben des Entdeckers, David Litchfield von Cerberus Information Security, als „größere Bedrohung“ angesehen werden.

„Natürlich sorgt man idealerweise dafür, keine sensiblen Daten gerade auf dem Webserver abzuladen, aber das kann im Einzelfall schwierig werden“, so Litchfield. Im schlimmsten Fall könnte es möglich sein, dass auf dem Server gespeicherte Kreditkartennummern für Angreifer sichtbar würden.

Der zweite Bug ermöglicht es, von außen Informationen über das betreffende Netzwerk anzufordern, wird aber als relativ harmlos erachtet. Der Microsoft-Manager Scott Culp erklärte, beide Bugs seien so spät entdeckt worden, dass sie vor dem Erscheinen von Windows 2000 nicht mehr beseitigt werden konnten.

Vorige Wochen hat der Software-Konzern erstmals deutsche Preisspannen für das Betriebssystem genannt (ZDNet berichtete). Die Vollversion soll demnach zwischen 800 und 850 Mark kosten.

Über technische Details von Windows 2000 und den aktuellen Stand der Entwicklung konkurrierender Betriebssysteme informiert ein umfangreiches ZDNet-Special.

Kontakt:
Microsoft, Tel.: 089/31760